تعریف
یک سیستم مدیریت امنیت اطلاعات یا information security management system و به اختصار ISMS مجموعهای از سیاستهای مربوط به مدیریت امنیت اطلاعات یا خطرات مربوط به فناوری اطلاعات است. اصل حاکم بر ISMS این است که یک سازمان باید سیاستها، فرآیندها و سیستمهای مرتبط با مدیریت خطرات اطلاعاتی را طراحی و سپس پیادهسازی کند و در ادامه برای حفظ آن تلاش کند تا خطرات مربوط به امنیت اطلاعات به سطح قابل قبولی کاهش یابد.
ایزو ۲۷۰۰۱ (به انگلیسی ISO/IEC 27001) استاندارد سیستم مدیریت امنیت اطلاعات (ISMS) است که در سال ۲۰۰۵ توسط سازمان بینالمللی استانداردها (ISO) و کمیسیون برق بینالمللی تدوین شد. این ISO قسمتی از استانداردهای خانواده ISO/IEC 27000 میباشد.
ISO/IEC 27001 به طور رسمی یک سیستم مدیریتی را تعیین میکند که هدف آن تأمین امنیت اطلاعات است. تعیین رسمی بدین معناست که این استاندارد یک سری معیار و قانون را الزام میکند و سرپیچی از این معیارها و قوانین جرم محسوب میشود.

مراحل دریافت گواهینامه ISO27001
تعدادی از ثبتکنندههای معتبر جهانی میتوانند برای یک ISMS گواهی انطباق با استاندارد ISO/IEC 27001 را صادر کنند. دریافت هر نوع از نسخههای ملی شده (در کشورهای مختلف) استاندارد ۲۷۰۰۱ (مثل نسخه ژاپنی آن؛ یعنی JIS Q 27001) توسط ثبتکنندههای معتبر جهانی، با دریافت استاندارد ISO/IEC 27001 معادل است. در برخی کشورها، به آن دسته از شخصیتهای حقوقی که انطباق سیستم مدیریت را با استانداردهای خاص ارزیابی میکنند، ”گواهی دهنده“ و در برخی دیگر از کشورها ”ثبتکننده“ اطلاق میشود. گواهی ISO/IEC 27001 معمولاً شامل وارسی خارجی سه مرحلهای است:
مرحله ۱: مرور مقدماتی و تهیه گزارش ISMS است. مثلاً بررسی وجود و کامل بودن اسناد و مدارک کلیدی، مثل سیاست امنیتی اطلاعات سازمان، منشور کاربردیات (SoA) و برنامه رفع خطر (RTP). هدف این مرحله شناساندن افراد با سازمان و برعکس است.
مرحله ۲: یک ممیزی انطباق دقیقتر و رسمیتر است که بهطور مستقل ISMS را بر اساس الزامات مشخص شده در ISO/IEC 27001 بررسی میکند. حسابرسان به دنبال شواهدی برای تأیید طراحی و پیادهسازی و بهرهبرداری صحیح سیستم مدیریت هستند (مثلاً تایید این که ”کمیته امنیت“ و یا یک شخصیت حقوقی مشابه، به طور منظم برای نظارت بر ISMS سیستم را بازبینی میکند).
مرحله ۳: شامل بازرسی یا ممیزیهای متعاقب به منظور تأیید ادامه سازگاری و انطباق سازمان با استاندارد است. نگهداری گواهینامه نیازمند ممیزیهای دورهای برای تأیید ادامه فعالیت ISMS بر اساس مشخصهها و اشارات استاندارد است. این عمل باید حداقل سالی ۱ مرتبه انجام انجام شود.